8 minute read
2. Les enjeux des commerçants
Les commerçants sont pragmatiques. Ils veulent des solutions au service de la relation client aux coûts maîtrisés, à valeur ajoutée et sécurisées. L’e-commerce représente 64,9 milliards d’euros de ventes en France en 2015, en hausse de 14,3% sur un an, selon iCE/Fevad, pour un panier moyen de 78 euros. 182 000 sites marchands sont actifs, soit +15% en un an. Près d’un quart des ventes des sites leaders (Amazon, Cdiscount, Fnac, vente-privée...) passent par des terminaux mobiles, un chiffre en augmentation de 50% en 2015. Dans ce contexte, « le paiement doit s'intégrer dans la chaîne de valeur du e-commerçant et être personnalisé dynamiquement, » met en exergue Yassine Essalih, responsable solutions clients, e-commerce et paiements, IBM Commerce.
- fluidifier le parcours client Le parcours client omnicanal doit être fluide. En ligne, l’acte d’achat doit être raccourci, pour améliorer le taux de conversion (ratio acheteurs/visiteurs). Dans les magasins, il s’agit de gagner du temps à l’encaissement.
Advertisement
- enrichir la relation client A l’heure de l’économie du partage, les commerçants craignent de se faire désintermédier. Ils souhaitent une relation client suivie, doublée d’une connaissance client enrichie. Ils veulent être en capacité de mettre en œuvre un marketing client contextualisé, enrichi par les données, de développer de nouveaux parcours d’achat et de nouveaux modèles de services.
- la valorisation des données Les commerçants ont in fine la volonté de générer des revenus sur les segments clients cible. Ils veulent être en mesure d’exploiter finement les données clients pour leur proposer des offres personnalisées : identité, données de contact, historique d’achat, de navigation... Bref, ils souhaitent passer du Big Data au Smart Data.
- les besoins des grandes entreprises Les grandes entreprises, et notamment la grande distribution, au-delà des enjeux clients, ont des enjeux financiers majeurs. Elles souhaitent disposer d’un écosystème monétique agile avec des coûts négociés et optimisés. Vis-à-vis des acquéreurs, c’est-à-dire les organismes financiers qui mettent à disposition des services d’acquisition de transactions de paiement électronique, elles aspirent à améliorer la gestion financière, massifier les volumes de transaction et bénéficier d’économies d’échelle sur les commissions. Il s’agit notamment d’optimiser les règles de routage en privilégiant le chemin incluant plusieurs acteurs (par exemple pour une carte de paiement: réseau carte et établissement bancaire acquéreur) qui propose le coût global le plus bas. En tant qu’accepteur - organisme acceptant le paiement - le distributeur souhaite une acceptation consolidée des pays et des canaux, afin de réaliser des gains opérationnels sur la plateforme et sur le matériel, sur la sécurité et les certifications. Il veut également adresser les nouveaux marchés plus facilement. Enfin, l’écosystème monétique doit pouvoir facilement intégrer de nouveaux services de paiement à valeur ajoutée.
- la sécurisation des paiements Les innovations dans le domaine des moyens de paiement doivent être pour les entreprises économiquement efficientes et stan-
dardisées, proposer des solutions interopérables et fiables. La sécurité et la lutte contre la fraude représentent un enjeu majeur. Il faut garantir la confidentialité, l’intégrité et la protection des données.
Selon le rapport de sécurité globale 2016 de Trustwave, 60% des attaques dans le monde ont concerné des données de cartes de paiement : 31% des données de cartes enregistrées en point de vente via la bande magnétique, 29% des données de cartes ciblées provenant d'environnements ecommerce. 23% des attaques ont visé le secteur de la distribution.
Les professionnels du paiement sont conscients des enjeux et sont venus en parler au Payforum, le salon professionnel de la monétique et des moyens de paiement organisé par Newsco Events à Paris les 16 et 17 mars 2016. ThreatMetrix, fournisseur de solutions d’authentification, de prévention des fraudes et de détection des menaces, a analysé en 2015 15 milliards de transactions dans le monde. Il a constaté une augmentation de 80% de la cybercriminalité durant cette période. Selon lui, les attentes des commerçants sont nombreuses. Il est notamment important, outre le fait de sécuriser l’accès aux données sensibles, de stopper les fraudeurs déjà identifiés par les concurrents et les partenaires, et de réduire le taux de rejet pour les transactions à distance transfrontalières afin d’éliminer les faux positifs. « La donnée de base c’est l’identité numérique de l’individu, » souligne Pascal Podvin, vice-président, opérations terrain, ThreatMetrix. Les comptes frauduleux sont l’une des données du problème. Les comptes « mules », peuvent être détectés par le profil (victimes manipulées ou sous la contrainte, intermédiaires consentants, professionnels), souvent nouveaux dans le pays ou résidents temporaires. De nombreux matériels sans lien apparent accèdent au compte ; de nombreuses géolocalisations sont détectées.
Plus largement, la confiance est un maître mot en matière de paiement sécurisé. Pour Nicolas Fort, responsable produit, Vasco Data Security, fournisseur de solutions et services d’authentification forte et de signatures électroniques, spécialisé dans la sécurité des applications et transactions par Internet, « la confiance repose sur cinq piliers: une gestion des risques de l’écosystème, une application mobile sécurisée, la sécurité des transactions, un utilisateur dont l’identité numérique est garantie, une authentification forte. » Sibylle Denis, ingénieur commercial de Lyra Network, précise : « l’authentification forte, utilise différents facteurs pour preuve de l’identité de l’acheteur : - la personne (empreinte digitale, identification biométrique, veineuse, autre...) ; - le matériel utilisé ; - l’intelligence des systèmes : applications, mot de passe, code PIN, QR Code, RFID...; - le comportement et les traces : signature manuscrite, attitude sur le web, traces ; - les réseaux : architecture technique redondée, géolocalisation, connexion, traçabilité IP, adresse de livraison. » Les objectifs sont de protéger contre la fraude, le vol, l’usurpation d’identité, le vol de données bancaires. ■
3. Le contexte réglementaire
- la directive révisée sur les services de paiement (PSD2) En Europe, les régulateurs européens souhaitent faire de l’Union Européenne un marché unique des paiements en euro fondé sur l’interopérabilité, l’accessibilité, la protection du consommateur, un service de base unique, une tarification équivalente et un marché ouvert qui facilite les paiements transfrontaliers. « Les prestataires de services peuvent maintenant se développer sur un marché des traitements de 100 milliards de transactions, qui se fonde sur l’efficacité opérationnelle et les économies d’échelle», met en exergue Narinda You, secrétaire général du Crédit Agricole et vice-présidente de l’European Payments Council (EPC), lors de la conférence inaugurale de Payforum.
Cet axe fort de développement du marché unique européen des paiements vient d’être renforcé par l’adoption de la Directive révisée sur les Services de Paiement (PSD2) par le Parlement européen le 23 novembre 2015. La transposition par les Etats membres est prévue d’ici janvier 2018. Les objectifs sont d’encourager une baisse des prix des transactions et d’améliorer la protection et la qualité d’expérience des utilisateurs en matière de moyens de paiement. Elle intègre de nouveaux acteurs, les prestataires tiers (Third Party Service Payment Provider, TPP) : - Services d’initiation de paiements (Payment Initiation Services, PIS) : initiation d’un ordre de paiement à la demande d’un utilisateur à partir d’un compte de paiement détenu auprès d’un autre PSP ; - Services d’information sur les comptes (Account Informations Services, AIS) : fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur auprès d’un ou de plusieurs autres Prestataires de Services de Paiement (PSP). Le législateur européen a créé un droit des utilisateurs d’accès aux comptes de paiement tenus par les PSP gestionnaires de comptes lorsque ces comptes sont accessibles par voie électronique. Ce droit d’accès concerne les PSIP et les PSIC, mais également les PSP émetteurs d’instruments de paiement liés à une carte.
L’enquête de CA Technologies - Finextra Research « Explorer les impacts métiers et technologiques de la nouvelle directive PSD2» montre que certaines banques et prestataires tiers ont déjà mis en route les processus nécessaires afin de respecter les recommandations de la PSD2.
Pour Jurgen Vroegh, responsable mondial des paiements chez ING : « PSD2 est une étape majeure vers l’ouverture du marché des services financiers et est l’occasion de revoir nos propres modèles économiques.» Selon la banque néerlandaise ABN AMRO, « cette directive offre de nombreuses opportunités, comme celle de créer une plateforme bancaire ouverte et sécurisée, permettant d’offrir une place de marché pour les Fintech, et de développer de nouveaux services financiers. »
L’impact de PSD2 dépendra de la réussite de sa mise en application localisée. D’après Diane Mullenex, associée et respon-
sable mondiale des télécommunications du cabinet d’avocats Pinsent Masons, «Les écarts de comportement en matière de paiements sur les différents marchés représentent un défi : en France, la majorité des paiements se font par carte. Outre-Rhin, l’argent liquide est fortement utilisé. Le RoyaumeUni est de loin le marché de paiements via PayPal le plus important. Le paiement sans contact y est également largement répandu.»
Grâce à cette directive, les opérateurs télécoms et les commerçants pourront proposer leurs propres plateformes de paiement, réduire les commissions liées aux transactions, renforcer leurs relations avec leurs clients, et se positionner en tant que fournisseurs d'identités. Mais qui aura à la fois la volonté et la capacité de le faire ? La PSD2 exige d’investir sur le plan de la conformité, voire de créer des entités professionnelles distinctes.
L’enquête CA Technologies - Finextra Research contient plusieurs recommandations à destination des banques et des prestataires tiers : - s’impliquer : participer aux phases de consultations qui auront lieu au niveau européen, tandis que des efforts seront fournis au niveau national afin de dégager des orientations ; - penser dès maintenant à une stratégie pour monétiser les investissements liés à la directive PSD2 ; - commencer à expérimenter et à élaborer des tests en amont ; - identifier et faire face aux défis liés à la fourniture d’API ouvertes. Malgré des incertitudes concernant des normes techniques, les services informatiques ont un rôle essentiel. La directive obligera les banques à faciliter l’accès aux comptes de leurs clients et à fournir des informations sur ces comptes à des applications tierces avec l’accord préalable de leurs titulaires. Certaines personnes interrogées aspirent à l’utilisation d’interfaces de programmation (API) ouvertes pour gérer l’accès de tiers aux informations. Il faut évaluer les conséquences en termes d’infrastructures et de gouvernance informatiques ; repérer les lacunes et définir les options permettant de les combler.
- Le règlement européen sur la protection des données personnelles Le règlement européen relatif à la protection des données a été adopté par le Parlement européen le 14 avril 2016. En tant que règlement européen, il est valable dans toute l’Union Européenne sans transposition nationale. Sa mise en œuvre est prévue pour 2018. Il vient renforcer les obligations et la responsabilité des entreprises chargées du traitement des données personnelles : elles devront dans les meilleurs délais (si possible 24h), notifier à l’autorité de contrôle nationale les violations graves. « Les autorités nationales indépendantes pourront sanctionner financièrement les responsables », précise Cathie Rosalie, avocate du cabinet Ulys. ■
